检察机关网络监测系统的数据采集与分析.docVIP

检察机关网络监测系统的数据采集与分析 　　摘要：目前，各级检察机关已建成完善的检察系统专线网络，并建立了大量多种多样的应用系统，建立统一的网络监测系统显得尤为必要。该文着重研究检察机关网络监测系统的数据采集与分析，力求提供最广泛适应的数据采集手段，大致规划数据采集范围，并给出数据分析的基本方法，完成监测系统的数据采集与分析的功能设计。 　　关键词：SNMP；SYSLOG；NAQ；UDP-jitter 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）28-0020-03 　　1 概述 　　目前，我国检察机关已建成覆盖从最高检到区县级层检察院的专线网络，并建立了大量应用系统，如电子邮件、内网网站、网上办公、网上办案等。但由于检察院信息化平台没有统一的架构，各业务系统之间的连接不紧密，没有统一的管理系统和监测系统，检察业务的连续性存在潜在威胁，响应速度滞后。2014年，检察系统统一业务软件正式运行后，大部分业务均需网上办理，这就对网络和整个硬件平台的稳定性提出了很高的要求。因此，对网络实施不间断的智能监控，实时监测网络上各类设备的运行状态，对可能影响网络稳定的隐患提早发现、提早解决变得尤为重要。目前，检察系统的信息化硬件设备不仅会有多厂家多品牌设备共存的情况，而且会拥有数量众多的网络设备、存储、服务器、安全设备等，统一的网络监测系统在进行设计时，如何对各类设备的数据的进行采集和分析则是一大重点。 　　本文将分析最广泛适应的数据采集手段，规划数据采集范围，并提供数据分析的基本方法，完成监测系统的数据采集与分析的功能设计。 　　2 数据采集的基本方法 　　目前，对各类网络设备、服务器等硬件设备的信息进行采集主要遵循了SNMP和Syslog协议。SNMP协议主要用于收集各类设备管理信息库（MIB）中的信息，Syslog协议主要用于收集设备的运行日志信息。 　　2.1 SNMP协议原理 　　简单网络管理协议（SNMP）是管理进程和代理进程之间的通信协议，由一组网络管理的标准组成，包含应用层协议、数据库模型和资源对象。网络管理包含两个部分：被管网络单元（也叫被管设备）和网络管理站（也叫管理进程，manager）。被管设备端与网络管理站通讯的程序被称为代理程序（agent）或代理进程。一般来说，管理进程和代理进程之间的通信为两种方式。一种是管理进程主动向代理进程发出请求，询问一个具体的参数值或修改某一个具体的参数值，这种方式一般由管理方自主设定通讯的时间间隔。另一种方式是代理进程主动向管理进程报告有重要事情的发生，这种方式被称为被动式，通讯的时间间隔不定[1]。基于SNMP协议的网络管理模型如下： 　　上图中，NMS是网络管理站，MIB是所有代理进程包含的，且能够被管理进程进行查询和设置的信息的集合，其包含一套所有设备通用的结构和表示符号（SMI）。网络管理站通过SNMP协议与设备上的代理进程通信，以完成对MIB的读取和修改操作，从而实现对网络设备上的监控与管理功能。SNMP是网络管理站与设备之间通信的载体，通过其定义的PDU（协议数据单元）来完成信息的交换。代理进程的主要工作包括与NMS通信（接受NMS的信息，报告特殊事件Trap）、监控设备的各项参数并对设备的MIB库进行维护。而设备的MIB库信息类别一般由设备厂商指定。 　　2.2 Syslog协议原理 　　Syslog是一种工业标准的协议，用于记录设备的日志，一般用在嵌入式系统中。路由器、交换机等网络设备的系统日志一般记录系统中任何时间发生的大小事件。管理者可以通过查看系统日志随时掌握系统状况，其可记录的事件类别也必须由设备厂商预先定义好。在嵌入式系统里，可被syslog协议记录的事件可以被记录到不同的文件，还可以通过网络实现机器之间的信息传递[2]。Syslog协议提供了一个传递方式，允许一个设备通过网络把事件信息传递给事件信息接受者（也称之为日志服务器）。Syslog协议的发送者和接受者之间不要求有严格的相互协调。目前，几乎所有的网络设备都可以通过syslog 协议将日志信息以发送UDP数据包的方式传送到远端日志服务器，远端日志服务器通过监听UDP 514端口来接收日志，并且根据syslog.conf中的配置来处理本机和接收访问系统的日志信息，通过筛选后把指定的事件写入档案中，供后台数据库管理之用。Syslog协议存在不足之处，由于syslog是以UDP方式传送，当网络状态不稳定时，某些日志消息可能会丢失。在网络设备崩溃的情况下，难以将有用的信息发送到syslog服务器上，这对于排除故障难以起到指引作用。 　　由于大多数网络设备、安全设备以及服务器均支持SNMP协议，而各类设备的MIB库中存放的数据信息也比设备日